Bezpieczeństwo chmury obliczeniowej wyzwaniem dla firm

Przeczytaj także: Usługi w chmurze = cyberbezpieczeństwo + ciągłość procesów biznesowych

Wybuch pandemii znacznie wzmógł dynamikę zmian zachodzących w zakresie wykorzystania technologii chmurowych. Efektem tego są nowe wyzwania, które zrodziły się przed działami IT i zespołami ds. bezpieczeństwa. Żeby móc skutecznie zarządzać obszarem cyberbezpieczeństwa i chronić kluczowe zasoby biznesowe, muszą one sięgnąć po rozwiązania daleko wykraczające poza tradycyjne podejście.

Niestety świadomość w tym zakresie jest wciąż stosunkowo niska, o czym może świadczyć fakt, że aż 62% firm w Polsce ankietowanych przez KPMG nawet nie wie w jakim modelu korzysta z chmury obliczeniowej. Tymczasem rozwiązania chmurowe będą wdrażane na coraz większą skalę. Przyczynić się do tego może także komunikat UKNF z 23 stycznia 2020 r., który otworzył kontrolowanym podmiotom z sektora finansowego drogę do rozwiązań chmurowych.

Rosnące zagrożenie shadow IT

Zjawisko shadow IT budziło wiele obaw specjalistów ds. bezpieczeństwa IT jeszcze przed pandemią COVID-19, natomiast nagłe i masowe przejście na pracę w trybie zdalnym oraz zmiany w infrastrukturze, dramatycznie zwiększyły skalę tego problemu. Zjawisko shadow IT – czyli dokonywanie zakupów usług chmurowych przez działy biznesowe z pominięciem działu IT, bez analizy ryzyka i bez zastosowania firmowych polityk dotyczy wielu firm, w których narzędzia wspierające pracę zdalną w zespołach nie funkcjonowały wcześniej lub były zbyt wolno wdrażane przez działy IT.

W konsekwencji braku odpowiedniego tempa działań wspierających pracę zdalną, działy biznesowe i indywidualnie pracownicy zaczęli na większą skalę stosować rozwiązania oparte na chmurze obliczeniowej wspierające codzienną pracę z pominięciem działów IT. Zastosowane aplikacje często nie są odpowiednio chronione – przez wieloskładnikowe uwierzytelnienie czy restrykcyjne polityki dotyczące tworzenia haseł. Mogą również nie spełniać wymogów prawnych w zakresie lokalizacji i retencji danych. Tymczasem z globalnego badania KPMG wynika, że już w 2019 roku aż 92% firm obawiało się, że ich pracownicy i poszczególne działy biznesowe w nieautoryzowany sposób korzystają z usług chmurowych – mówi Michał Kurek, Partner w Dziale Doradztwa Biznesowego, Szef Zespołu ds. Cyberbezpieczeństwa w KPMG w Polsce.

Ograniczyć ryzyko zjawiska shadow IT może pomóc kilka działań, które przedsiębiorstwa powinny podjąć. Przede wszystkim odpowiednie zapisy powinny znaleźć się w politykach firmy i w standardach pracowniczych. Warto również rozważyć blokowanie nieautoryzowanych aplikacji opartych na chmurze obliczeniowej. Z drugiej strony, jeśli pracownicy mają problem, by realizować swoje zadania zawodowe w ramach dostępnej w firmie infrastruktury IT, rozwiązaniem może być sprawne wdrożenie rozwiązań chmurowych na poziomie całej organizacji przy zachowaniu procedur cyberbezpieczeństwa. Do ograniczenia zjawiska shadow IT może także przyczynić się skrupulatna kontrola wydatków firmowych przeznaczanych na rozwiązania oparte na chmurze.

Wyrafinowane ataki hakerskie typu BEC

Poczta e-mail oparta na chmurze obliczeniowej oferuje organizacjom niezbędną elastyczność w obliczu nowej rzeczywistości. Jest dostępna dla pracowników spoza sieci firmowej, jej cyberbezpieczeństwo jest na najwyższym poziomie i jest łatwo skalowalna. Jednak wygoda korzystania z poczty elektronicznej z każdego miejsca ma swoją cenę – dostęp do niej jest również wygodny dla hakerów.

Fakt, że cyberprzestępcy potrzebują jedynie danych uwierzytelniających, aby naruszyć konta e-mail, stał się przyczyną zakrojonych na szeroką skalę ataków typu BEC (ang. Business E-mail Compromise). Po przejęciu pojedynczego, firmowego konta e-mail za pośrednictwem witryny internetowej zbierającej dane uwierzytelniające hakerzy zdobywają zaufanie i znajomość współpracowników, zasobów czy partnerów biznesowych, w celu uzyskania dodatkowych danych uwierzytelniających lub żądania nieuprawnionych transakcji finansowych.

Ataki typu BEC mogą być bardzo dotkliwe i kosztowne dla firm. W minimalizowaniu ryzyka tego typu cyberataków pomaga wieloskładnikowe uwierzytelnienie oraz reguły dostępu warunkowego. Firmy wdrażające tego rodzaju zabezpieczenia są znacznie rzadziej ofiarą skutecznych ataków. Ważną rolę pełni też konfiguracja, monitorowanie i bieżąca reakcja na alerty o podejrzanej aktywności użytkowników. Mogą to być ograniczenia w zakresie logowania się z różnych obszarów geograficznych w niemożliwych ramach czasowych czy zbyt duża liczba nieudanych logowań wskazujących na możliwość próby włamania.

Kluczowy czas reakcji w przypadku cyberincydentów

Czujność zespołów ds. bezpieczeństwa IT w firmach, które migrują do chmury obliczeniowej, jest często uśpiona za sprawą standardowych narzędzi monitorowania bezpieczeństwa oferowanych przez dostawcę usługi. Zarządzanie cyberbezpieczeństwem w chmurze jest jednak procesem o wiele bardziej złożonym – wymaga odpowiedniej analizy ryzyka i podjęcia konkretnych działań. Sprawnie muszą także funkcjonować procedury szybkiego reagowania na incydenty naruszenia bezpieczeństwa w chmurze. Osoby odpowiedzialne za bezpieczeństwo IT w firmach powinny mieć pewność, że działają one prawidłowo w przypadku wystąpienia zagrożenia.

W tym kontekście trudno przecenić rolę edukacji w zakresie bezpieczeństwa chmury obliczeniowej, bowiem znaczna część przedsiębiorstw jest wciąż sceptycznie nastawiona do cyberbezpieczeństwa rozwiązań chmurowych. 1 na 5 organizacji w Polsce nie uważa, że usługi utrzymywane w ramach wewnętrznej infrastruktury firmy są bezpieczniejsze od usług chmurowych. Jednocześnie blisko połowa uważa oba rozwiązania za tak samo bezpieczne.

O analizie:
Publikacja KPMG International pt. „In securing the cloud — the next chapter” zawiera analizę, jak szybka adopcja usług chmurowych podczas pandemii COVID-19 wpłynęła na krytyczną potrzebę strategicznego zarządzania obszarem bezpieczeństwa IT i ochrony kluczowych zasobów firm.